安全研究人员近日揭露，LayerZero 协议中用于验证跨链消息的默认代码存在严重安全漏洞，直接导致超过 1.78 亿美元的跨链资产处于高风险状态。该缺陷主要影响协议内的 Omnichain 可互换代币（OFT），攻击者理论上可利用此漏洞伪造跨链消息，进而实施未经授权的资产转移。尽管 LayerZero 团队具备随时替换默认验证代码的技术能力，但这种缺乏时间限制的设计机制本身即构成了显著的安全隐患，使得恶意行为者在特定窗口期内拥有极大的操作空间。

这一漏洞在 ETHSecurity 社区的 Telegram 频道引发了广泛讨论。拥有超过 22 万粉丝的知名安全研究员 Banteg 指出，直到近期，包括 Ethena 和 EtherFi 在内的多个大型项目仍在使用这一存在缺陷的默认配置。午方 AI 梳理发现，虽然部分项目已着手更新配置以修复漏洞，但仍有约 1.78 亿美元的资产因未及时升级而暴露在潜在的攻击路径之下。这种滞后性不仅反映了项目方在安全响应上的不足，也凸显了默认设置被广泛沿用所带来的系统性风险。

除了技术层面的漏洞，Fishy Catfish 还对 LayerZero 的整体安全运营提出了尖锐质疑。分析，该平台在日常操作中，例如在进行模因币交易时，竟然使用了多签名密钥机制。考虑到 LayerZero 此前曾成为朝鲜黑客组织的攻击目标，这种在关键操作环节依赖多签而非更严格隔离机制的做法，进一步放大了操作安全风险。午方 AI 注意到，这种管理上的松懈与 LayerZero 作为跨链基础设施的核心地位极不相称，一旦密钥管理出现疏漏，后果将不堪设想。

该事件深刻揭示了跨链消息协议在追求互操作性时所面临的内在矛盾。由于默认代码缺乏必要的时间限制约束，一旦 LayerZero 团队的私钥遭到泄露或内部人员作恶，将直接导致大规模资产被盗。这种设计上的灵活性虽然赋予了开发者极大的便利，却在安全性上埋下了巨大隐患。午方 AI 分析认为，此次漏洞曝光重新点燃了去中心化金融领域关于开发者灵活性与系统安全性之间平衡的激烈辩论，迫使行业重新审视默认配置的合理性。

面对舆论压力，LayerZero 首席执行官 Bryan Pellegrino 已主动与安全社区展开沟通，试图缓解各方担忧并推动解决方案的落地。

然而，1.78 亿美元资产面临风险这一事实依然严峻，无法仅靠口头沟通化解。目前，所有仍在使用 LayerZero 默认设置的项目被强烈建议立即检查并调整自身配置，以切断潜在的攻击路径。这一事件再次向整个行业敲响了警钟：在构建跨链协议时，严格的安全审计流程与强制性的时间限制机制是保障资产安全的基石，任何对默认设置的盲目信任都可能导致灾难性后果。